Revue hebdomadaire BitDefender - Zbot menace toujours

Trojan.Spy.ZBot.UO

Le malware trompe les utilisateurs par une méthode courante : son icône est différente d'une icône d'exécutable classique. Dans ce cas, il s 'agit de l'icône d'un fichier .chm (Fichier d'Aide HTML Compilé Microsoft). Zbot utilise également des icônes de Microsoft Excel et de répertoires standards.

Comme pour la plupart des versions de Zbot, ce malware se diffuse par e-mail (spam).

Cette version spécifique de Zbot n 'est en fait qu 'une version recompilée de Trojan.Spy.ZBot.UI. Le malware injecte du code dans winlogon.exe , lui permettant de créer des fichiers et de se connecter à Internet furtivement. Il peut ainsi se copier dans %windir%\system32\sdra64.exe, et ajouter du contenu à l 'exécutable afin qu 'il ait une taille et une empreinte numérique MD5 différentes, tentant ainsi d'éviter d'être détecté par les antivirus. Il crée également un dossier appelé lowsec (dans le même dossier) dans lequel se trouvent 3 fichiers contenant des données cryptées :  local.ds, user.ds and user.ds.lll

Afin de se lancer à chaque démarrage du système, le cheval de Troie modifie certaines entrées du registre. Il marque également sa présence dans l 'ordinateur en créant la ligne d 'identification (mutex) suivante : __SYSTEM__64AD0625__ 

Trojan.JS.PYV

Ce terme générique est utilisé par BitDefender pour désigner les JavaScripts qui essaient d'exploiter les vulnérabilités de navigateurs non à jour ou de plugins de navigateurs tiers comme les contrôles ActiveX pour l'affichage des documents PDF et la lecture d 'animations Flash.

Le script charge des pages malveillantes dans des sites spécialement conçus à cet effet ou dans des sites Internet sains ayant été attaqués et modifiés pour servir de moyens de diffusion.

L 'attaque consiste à injecter du code JavaScript dans une page saine afin de créer un iframe spécial, qui n 'est pas visible mais qui charge pratiquement une autre page derrière la page que la victime consulte à ce moment-là.

Cette autre page contient en général plusieurs exploits pour les plugins mentionnés précédemment et si elle le peut, elle télécharge des malwares sans que l'utilisateur du PC ne le remarque et sans son accord. Ce type de téléchargement est appelé ” drive-by-download ” et la charge utile dépend de la page chargée par le code Javascript dans le site qui était au départ, sain.

Article réalisé gr?ce à l'aimable contribution de Lutas Andrei Vlad et Marius Vanta, spécialistes BitDefender des virus informatiques.